Правовое регулирование защиты персональных данных в некоторых странах Евросоюза, США и Канады

Номер журнала:

Краткая информация об авторе (ах): 
  •  
  • Ковалев Сергей Иванович – кандидат юридических наук, доцент кафедры гражданского и трудового права Российского университета дружбы народов;
  • Иванская Анастасия Валерьевна – студент очного отделения 2 курса юридического факультета Российского университета дружбы народов.
Аннотация: 

В статье дается обзор законодательных актов по защите информации приватного характера Соединенных Штатов Америки, Канады и некоторых стран Евросоюза в части использования законодательного опыта защиты права на неприкосновенность сферы частной жизни для России. Основу законов о защите персональной информации стран Евросоюза составляет Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера. Кроме того, в статье рассматривается сфера применения Закона о защите данных. Возможны два варианта его применения: либо он распространяет свое действие на информацию, собранную и обработанную традиционным ручным методом, а также на персональную информацию, собранную в форме доступной для ее обработки аппаратными средствами вычислительной техники, либо его действие ограничивается только последней. Особого внимания в статье заслуживают нестатутные (корпоративные) средства защиты персональных данных в форме отраслевых кодексов практики, корпоративных принципов поведения, которые приобретают в последние годы широкое распространение в индустриально развитых государствах, в том числе и в России.

Ключевые слова: 

персональные данные, право на неприкосновенность частной жизни, информационные технологии, защита персональных данных, нормативно-правовое регулирование, законодательство зарубежных стран, Европейский Союз, США, Канада.

     Представляется важным рассмотреть практику иностранных государств по правовой защите информации о неприкосновенности частной жизни и, более конкретно, вопросы защиты компьютерных баз данных и свободы информации. Такая практика в большей степени разработана в Великобритании и в странах континентальной Европы (особенно в Германии) и в меньшей - в Канаде и Соединенных Штатах.

     В 1984 году в Великобритании был принят Закон о защите данных (в редакции 1998 года [13], который распространяет свое действие на компьютерные базы данных. Его принятие было, главным образом, обусловлено ратификацией Советом Европы Конвенции о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS № 108) [5], а также с целью создания благоприятных условий в конкурентной борьбе Великобритании со странами Общего рынка. Этот закон, реализация которого проходила в четыре этапа с 1984 по 1987 год, предоставляет защиту частным лицам от некорректного или ошибочного использования информации о них, хранящейся в компьютерных банках данных. В законе перечислены восемь принципов, основанных на положениях вышеупомянутой конвенции Совета Европы, несоблюдение которых ведет к применению защитных мер со стороны Регистратора защиты данных. Далее в нем содержатся меры защиты гражданско-правового характера, предусмотренные на случай причинения ущерба частному лицу вследствие использования недостоверной информации.

     Сфера применения Закона о защите данных [8] ограничивается персональной информацией, собранной в форме, доступной для ее обработки аппаратными средствами вычислительной техники. Поэтому действие закона не распространяется на информацию собранную и обработанную традиционным ручным методом. Закон допускает ряд исключений, когда, в частности, речь идет об обработке информации текстовыми редакторами, об информации, содержащейся в платежных ведомостях и счетах, рассылочных списках, о научной и статистической информации, о некоторой правительственной информации и исключительно «домашнего» пользования. Пользователи такой информацией и компьютерные фирмы, занимающиеся сбором и обработкой информации, подлежат обязательной регистрации, за уклонение от которой, предусматриваются меры строгой юридической ответственности. В целях эффективного внедрения Законом о защите данных введено 15 новых видов уголовного наказания за нарушение его положений.

Большинство европейских стран приняло законодательные акты по защите компьютерных банков данных и свободе информации, контроль за реализацией которых возложен на специализированные агентства. Настоятельная необходимость принятия такого законодательства была продиктована условиями развития внешнеторговых связей, возрастающей конкуренцией, обязательствами, вытекающими из членства в Организации экономического сотрудничества и развития (ОЭСР) и аналогичными обязательствами, принятыми в связи с ратификацией Конвенции № 108 Совета Европы. Так, например, Австрия (Закон о защите данных, 2000 г. (Datenschutzgesetz 2000) [15]), Франция (Закон об информатике, картотеках и свободах , 1978 г. (Loi relative à l'informatique, aux fichiers et aux libertés [10])) и Люксембург (Закон о защите лиц в отношении обработки данных личного характера, 2002 г. (Loi relative à la protection des personnes à l'égard du traitement des données à caractère personnel [21])) приняли законодательство по защите компьютерных баз данных применительно как к публичному, так и частному секторам, в основе которого лежал принцип регистрации. В Нидерландах (Закон о защите данных, 2000 г. (Wet bescherming persoonsgegevens) [23], Закон о данных, обрабатываемых полицией, 2007 г. (Wet politiegegevens) [32], Закон о муниципальных базах данных, 1994 г. (Wet gemeentelijke basis administratie persoonsgegevens) [31]) предпочтение было отдано законодательству, регулирующему защиту информации частного характера в самом широком смысле и основанному на саморегулируемом соблюдении минимальных стандартов, как системе противостоящей системе лицензирования.

     В Германии с 1978 г. установлено единое правовое регулирование [16] [19] [18] [12]  (в настоящий момент действует Федеральный Закон о защите данных (Bundesdatenschutzgesetz [17]), при котором законы, принятые на федеральном уровне, регистрировались в канцелярии местных административных органов власти – правительств земель и были обязательны для исполнения частными агентствами, занимающихся сбором, обработкой или использованием информации. Данная законодательная процедура ограничивалась файлами, подлежащих только автоматизированной обработки. В стране действует трехуровневая система органов власти по правовой защите данных. На первом, федеральном уровне, федеральный уполномоченный по защите данных организует за деятельностью всех федеральных органов управления и подчиненных им структур, занятых сбором и обработкой персональных данных, соблюдение ими требований Федерального закона 2001 года о защите данных. На втором, региональном уровне, правительства земель назначают земельных Уполномоченных по защите данных для контроля за соблюдением всеми земельными органами управления и подчиненными им структурами, занятыми сбором и обработкой персональных данных, требований земельного закона о защите данных. И третий, низовой (отраслевой) уровень касается негосударственных предприятий и организаций, занятых автоматизированной обработкой персональных данных и имеющих не менее пяти постоянных сотрудников, обязаны назначить Уполномоченного по защите данных с целью обеспечения исполнения законодательства по защите данных.

     Во всех скандинавских странах в той или иной форме принято законодательство по защите компьютерных банков данных. И в этом плане Швеция является примером для подражания - она самая первая приняла закон о свободе информации («О свободе изданий», 1776 г., который  в 1949 г. был модифицирован в закон о свободе печати, а в настоящее время является составной частью Конституции Швеции [6] и гарантирует всем гражданам страны свободу получения информации в государственных органах на безвозмездной основе) и первая ввела законодательство по защите информации частного характера [28; 22] (в редакции Закона о конфиденциальности 1998 г. (Personuppgiftslagen)), хранящейся в компьютерных банках данных. Законодательство по защите компьютерных баз данных Швеции и Дании (Закон о защите данных 1979 года в редакции Закона об обработке персональных данных 2000 г. (Lov om behandling af personoplysninger) [11]) главным образом ориентировано на компьютерную информацию в частном секторе.

     В Канаде Закон о защите частной жизни 1982 года (в редакции Федерального закона о защите личных сведений и электронных документов, 2000 г. (Personal Information Protection and Electronic Data Act) [24; 26]) отменил действие и заменил собой Закон о защите прав человека 1978 года и вступил в силу 1 июля 1983 года одновременно с Законом о доступе к информационным ресурсам 1983 года [9]. Этот закон в первую очередь направлен на защиту информации частного характера физических лиц. Он применяется с некоторыми ограничениями в отношении частной информации, находящейся под контролем органов федеральной администрации, независимо от того каким способом она обработана - автоматическим или ручным. Законодательство о защите частной жизни и свободы информации действует в шести провинциях страны.

     Отличительной особенностью канадской системы защиты данных является наличие своего рода «отраслевых» федеральных уполномоченных по защите данных. Специальный федеральный Уполномоченный по защите прав граждан на неприкосновенность сферы частной жизни назначается для контроля за исполнением положений федерального законодательного акта 1982 г. о защите частной жизни (Privacy Act 1982) [25]. А в соответствии с Федеральным законом о доступе к информационным ресурсам 1983 года предусматривается назначение специального федерального Уполномоченного по информации для контроля за исполнением своих решений. Помимо этого в каждой отрасли хозяйственной деятельности для защиты персональных данных, например в банковско-кредитной сфере, назначается федеральный ревизор финансовых учреждений, исполняющего функции Уполномоченного по защите данных в своей «отрасли». На региональном уровне по аналогии с федеральным уровнем, в большинстве провинций имеются соответствующие должностные лица, носящие титул провинциального Уполномоченного по защите прав граждан на неприкосновенность частной жизни или провинциального Уполномоченного  по информации и защите прав граждан на неприкосновенность частной жизни.

     Особого внимания в Канаде заслуживают нестатутные (корпоративные) средства защиты персональных данных в форме отраслевых кодексов практики, корпоративных принципов поведения, которые в последние десять лет стали наконец-то появляться в России, да и то не для защиты персональных данных. Такими яркими примерами могут быть модельный Кодекс о защите прав граждан на неприкосновенность частной жизни Канадской ассоциации банкиров, подготовленный на основе Руководящих принципов ОЭСР (Организация Экономического Сотрудничества и Развития), Кодекс деятельности служб потребительских дебетовых карточек, Кодекс профессиональной этики и практических стандартов Канадской ассоциации страхования здоровья и жизни. Кроме того, подобные кодексы существуют на авиатранспорте.

     В Соединенных Штатах, согласно Закону о неприкосновенности частной жизни 1974 года (Privacy act) [30], служащим федеральных органов запрещено раскрывать содержание информации о гражданах частного характера без их письменного согласия на это, за исключением случаев, когда такие действия осуществляются ими в силу служебного долга и в других установленных законом обстоятельствах. Закон устанавливает, что организации, занимающиеся сбором и обработкой информации о гражданах, должны это делать открыто и на легальных основаниях и при обращении населения с вопросами, официально давать ему пояснения, с какой целью ведется сбор информации. Закон о неприкосновенности частной жизни отвечает минимальным стандартам сбора информации, нарушение которых дает основания гражданам на обращение в суд с гражданским иском о возмещении причиненного ущерба. Он также предоставляет гражданам право, согласно измененному Закону о свободе информации 1974 года [20], на доступ к информации о них, хранящейся в компьютерных банках данных правительственных органов, и внесения в такую информацию соответствующих изменений.

     Соединенными Штатами были приняты и другие законодательные акты, которые тем или иным образом относятся к проблеме защиты сведений частного характера, хранящихся в компьютерных базах данных. К их числу относится Закон о предоставлении правдивой информации по взятым банковским кредитам 1970 года [14], согласно которому граждане в отдельных случаях имеют право сверять информацию о них, хранящуюся в отчетах финансово-кредитных учреждениях; Закон о правильной кредитной отчетности 1974 года [29], который предоставляет право гражданам задерживать предоставление отчетности по кредитам в случаях, когда ими обнаруживаются неточности или ошибочные сведения о деталях кредитования; Закон о безопасности компьютерной информации 1987 года [27], который устанавливает стандарты на создание компьютерной программы Национальным бюро стандартов, определяет порядок системы компьютерной безопасности в отношении правительственных банков данных, систему подготовки персонала по вопросам компьютерной безопасности персонала служб, занимающихся сбором и обработкой информации в рамках единой федеральной компьютерной сети.

     В 1972 году в США создана Комиссия по изучению влияния компьютерных технологий на приватность, по результатам отчета которой принят Билль о правах в компьютерную эпоху, получивший название «Кодекс справедливого использования информации» [2]. Данный Кодекс базируется на 5 основных принципах:

     1) не должно быть систем, накапливающих персональную информацию, сам факт существования которых является секретом;

     2) каждый человек должен иметь возможность контролировать, какая информация о нем хранится в системе и каким образом она используется;

     3) каждый человек должен иметь возможность не допустить использования информации, собранной о нем для одной цели, в других целях;

     4) каждый человек должен иметь возможность скорректировать информацию о самом себе;

     5) каждая организация, занимающаяся созданием, сопровождением, использованием или распространением массивов информации, содержащих персональные данные, должна обеспечить использование этих данных только в тех целях, для которых они собраны, и принять меры против их использования не по назначению [7].

     И наконец, необходимо отметить, что ряд штатов принял дополнительные местные законодательные акты по этим вопросам, а в восьми штатах право граждан на неприкосновенность частной жизни было включено в конституции штатов [3] [4].

     Однако, в юридической практике США встречаются случаи, указывающие на наличие определенных пробелов в формулировке гарантий защиты персональной информации граждан, содержащейся в киберпространстве. В начале 2003 г. один из окружных судов принял к рассмотрению иск от имени огромного количества военнослужащих (570 тыс.) к TriWest Health Care Alliance Corporation, работающей по контракту с федеральным правительством. Компания обвинялась в нарушении конфиденциальности медицинских сведений и, соответственно, в нарушении Закона о конфиденциальности от 1974 г. (Privacy Act of 1974). В октябре 2003 г. суд отклонил иск на том основании, что в результате действий компании не было причинено никакого вреда. В постановлении суда было сказано, что если нет вреда, то допущенная ответчиком некоторая халатность не имеет значения [1].

     В заключении данного исследования можно сделать следующие выводы.

     1. Рассмотрев законы различных зарубежных стран, регулирующих компьютерный сбор и обработку персональной информации, можно сделать вывод, что наиболее перспективным и эффективным механизмом охраны и защиты персональных данных для России является Федеральный закон Германии 2001 года о защите данных в части построения системы защиты данных. Во-первых, это связано с тем, что Германия относится к континентальной правовой системе. Во-вторых, формой государственно-территориального устройства Германии выступает Федерация, как и в России.

     2. Анализ современной международной практики, а также опыта отдельных стран в сфере правового обеспечения защиты персональных данных позволяет констатировать наличие устойчивой тенденции к развитию универсализма в этой области, что выражается в формировании общих (наднациональных) подходов к правовому регулированию общественных отношений, связанных с защитой персональных данных, и международных стандартов государственно-правовой защиты этих данных. Последние выступают правовым ориентиром в развитии российского законодательства, устанавливающего правовые механизмы защиты персональных данных, а также для соответствующей правоприменительной практики.

     3. Следует уделить более глубокий научный интерес изучению нестатутных (корпоративных) средств защиты персональных данных в форме отраслевых кодексов практики, корпоративных принципов поведения, которые, на наш взгляд, имеют наибольшую перспективу в эффективном регулировании персональной информации.

ЛИТЕРАТУРА: 
[1] Ваганов П.А. Правовая защита киберпространства в США // Правоведение. 2006. № 4.
[2] Гарфинкль С. Все под контролем: частная жизнь под угрозой // URL: http://bugtraq.ru/library/books/dbnation/ (дата обращения: 28.11.2013).
[3] Иванский В.П. Правовая защита сферы частной жизни в США: теория и практика: учебное пособие. М., 2010.
[4] Иванский В.П. Принципы защиты персональных данных в зарубежных государствах // Информационные системы и технологии. 2011. № 4.
[5] Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS № 108) [рус., англ.] (Заключена в г. Страсбурге 28.01.1981) // Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. М.: СПАРК, 1998.
[6] Конституция Швеции (Королевства Швеция) от 27 февраля 1974 г. // URL: http://constitutions.ru/archives/234 (дата обращения: 28.11.2013).
[7] Стрельников В. Персональным данным - особую защиту // ЭЖ-Юрист. 2013. № 12.
[8] Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 23.07.2013) «О персональных данных» // СЗ РФ. 2006. № 31 (1 ч.). Ст. 3451.
[9] Access to Information Act // URL: http://laws-lois.justice.gc.ca/eng/acts/A-1/FullText.html (дата обращения: 28.11.2013).
[10] Act №78-17 of 6 january 1978 On information technology, data files and civil liberties // URL: http://www.cnil.fr/fileadmin/documents/en/Act78-17VA.pdf (дата обращения: 28.11.2013).
[11] Act on Processing of Personal Data № 429 of 31 May 2000 // URL: http://www.datatilsynet.dk/english/ (дата обращения: 28.11.2013).
[12] Bundesdatenschutzgcsetz (BDSG - Federal Data Protection Act), 14 Jan. 2003. BGBI. I 66 // URL: http://www.bfdi.bund.de/EN/DataProtectionActs/Artikel/BDSG_idFv01092009.... (дата обращения: 28.11.2013).
[13] Data Protection Act 1998 // URL: http://www.legislation.gov.uk/ukpga/1998/29/contents (дата обращения: 28.11.2013).
[14] Fair Credit Reporting Act, Pub. L. No. 91-508 (1970) // URL: http://www.ftc.gov/os/statutes/fcradoc.pdf (дата обращения: 28.11.2013).
[15] Federal Act Concerning the Protection of Personal Data (Datenschutzgesetz 2000 - DSG 2000) // Original promulgation: Federal Law Gazette [Bundesgesetzblatt, short BGBl.] part I. No. 165/1999, on 17. August 1999; URL: http://www.dsk.gv.at/site/6274/default.aspx (дата обращения: 28.11.2013).
[16] Federal Data Protection Act 78-17 of 6 January 1978 URL: http://www.datenschutz-berlin.de/ (дата обращения: 28.11.2013).
[17] Federal Data Protection Act (BDSG) of 14 August 2009 // Federal Law Gazette I, p. 2814.
[18] Federal Data Protection Act (Bundesdatenschutzgesetz-BDSG) 2001 // URL: http://www.privireal.org/content/dp/germany.php (дата обращения: 28.11.2013).
[19] Federal Data Protection Act of 20 December 1990 (BGBl.I 1990 S.2954), amended by law of 14 September 1994 (BGBl. I S. 2325) // URL: http://www.iuscomp.org/gla/statutes/BDSG.htm (дата обращения: 28.11.2013).
[20] Freedom of Information Act Prior to 1974 Amendments // URL: http://www.justice.gov/oip/1974attacha.htm (дата обращения: 25.11.2013).
[21] Law of 2 August 2002 on the Protection of Persons with regard to the processing of Personal Data // URL: http://www.cnpd.public.lu/fr/legislation/droit-lux/doc_loi02082002_en.pdf (дата обращения: 28.11.2013).
[22] Personal Data Act (1998:204) On the 24th of October 1998 URL: http://www.government.se/content/1/c6/01/55/42/b451922d.pdf (дата обращения: 28.11.2013).
[23] Personal Data Protection Act (Wet bescherming persoonsgegevens) Act of 6 july 2000 // URL: http://www.dutchdpa.nl/Pages/en_wetten_wbp.aspx (дата обращения: 28.11.2013).
[24] Personal Information Protection and Electronic Documents Act (S.C. 2000, c. 5 ) // URL: http://laws-lois.justice.gc.ca/eng/acts/P-8.6/ (дата обращения: 28.11.2013). 
[25] Privacy Аct № 455 of 1982 // URL: http://www.priv.gc.ca/information/ar/201112/201112_pa_e.asp (дата обращения: 28.11.2013).
[26] Privacy Act (R.S.C., 1985, c. P-21) // URL:  http://laws-lois.justice.gc.ca/eng/acts/P-21/index.html (дата обращения: 28.11.2013).
[27] The Computer Security Law of 1987, Public Law No. 100-235 (H.R. 145), (Jan. 8, 1988) // URL: http://www.ssa.gov/OP_Home/comp2/F100-235.html (дата обращения: 28.11.2013).
[28] The Data Act 1973 (as amended with effect from January 1, 1989) // URL: http://archive.bild.net/dataprSw.htm (дата обращения: 28.11.2013).
[29] The fair credit billing act Public Law 93-495 - October 28, 1974 // URL: http://www.ftc.gov/os/statutes/fcb/fcb.pdf (дата обращения: 28.11.2013).
[30] The Privacy Act of 1974 Pub. L. No. 93-380 (1974) // URL: http://www.gpo.gov/fdsys/granule/STATUTE-88/STATUTE-88-Pg1896/content-de... (дата обращения: 28.11.2013).
[31] WET van 9 juni 1994, houdende regels ter zake van de gemeentelijke basisadministratie van persoonsgegevens // URL: http://www.st-ab.nl/wetten/0504_Wet_gemeentelijke_basisadministratie_per... (дата обращения: 28.11.2013).
[32] WET van 21 juli 2007, houdende regels inzake de verwerking van politiegegevens (Wet politiegegevens) // URL:  http://www.st-ab.nl/wetten/1089_Wet_politiegegevens.htm (дата обращения: 28.11.2013).
Заголовок En: 

Legal Regulation of Personal Data Protection in Some Countries of European Union, USA and Canada

Аннотация En: 

In the present article an overview of legislation on data protection of private character in the United States, Canada and some European Union countries regarding use of legislative experience of the right to the inviolability of private life protection for the Russian Federation. Basis for laws protecting of personal information in European Union countries is the European Union Convention on the Protection of Individuals with regard to Automatic Processing of Personal Data. In addition in the present article the scope of the Data Protection Act is discussed. There are two possibilities of its application: either it is applied to the information collected and processed in the traditional manual method, as well as personal information collected in the form usable for processing by computer hardware, or its effect is limited only by the last. Emphasis in the article are also given to the non-statutory (corporate) means of personal data protection in the form of industry codes of practice, principles of corporate behavior, which in recent years has become widespread in industrialized countries, including Russia.

Ключевые слова En: 

personal data, right for personal privacy, information technologies, personal information protection, standard and legal regulation, legislation of foreign countries, European Union, USA, Canada.